码迷,mamicode.com
首页 > Web开发 > 详细

关于angularJS绑定数据时自动转义html标签

时间:2015-01-30 15:17:16      阅读:228      评论:0      收藏:0      [点我收藏+]

标签:

折磨了两天,最后发现答案竟如此简单,不过辛苦还是值得的,毕竟为了弄明白这一点又学习了更多代码。

        angularJS在进行数据绑定时默认是会以文本的形式输出,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止了html标签中的注入攻击,但有些时候还是需要的,特别是从数据库读取带格式的文本时,无法正常的显示在页面中。

        而要对html进行转义,则要在数据绑定的html标签中使用ng-bind-html属性,该属性依赖与$sanitize,也就是需要引入angular-sanitize.js文件,并在module定义时注入该服务ngSanitize。比如:

html:

<span ng-controller="myCtr" ng-bind-html = "htmlStr"></span>

javascript:

function myCtr($scope){

        $scope.htmlStr = ‘<p style="color:red;font-size=18px;"></p>‘;

};

        如此则可以实现html转义,但有个问题就是style这种标签会被angularJS认为是不安全的所以统统自动过滤掉,而为了保留这些就需要开启非安全模式。

 

        但我遇到的问题不止这些,以上只是静态的去绑定,而我自己开发的页面是通过自定义service中的$http异步加载获取数据,然后在success事件中为$scope绑定数据列表,而在模板中则使用<div ng-repeat="article in articles">...</div>由angularJS自动循环生成,那么问题来了,如何让自动加载的数据转义html标签呢。

        这两天从directive指令、filter过滤器到$sanitize、$complie几乎都试了一遍,不过因为一直没有注意到关键的一点所以始终没有实现。后来发现(还是偶然读的一篇blog),ng-bind-html中也是可以绑定循环时的数据的,也就是之前我一直以为ng-bind-html中只可以绑定在后端$scope中定义的变量,也就是类似上面提到的那个例子,而实际上是可以这么绑定的:

html:

<div ng-repeat="article in articles">

        <div class="panel-heading">

            <h4><b>{{article.title}}</b></h4>

        </div>

        <div class="panel-body">

            <article id="word-display" ng-bind-html="article.content | trustHtml">

            </article>

        </div>

    </div>

javascript:

success(function (data) {

                        $scope.articles = data;

});

myApp.filter(‘trustHtml‘, function ($sce) {

        return function (input) {

            return $sce.trustAsHtml(input);

        }

    });

 

其中$sce是angularJS自带的安全处理模块,$sce.trustAsHtml(input)方法便是将数据内容以html的形式进行解析并返回。将此过滤器添加到ng-bind-html所绑定的数据中,便实现了在数据加载时对于html标签的自动转义。

 

http://okashii.lofter.com/post/1cba87e8_29e0fab#

 

=========================

    <div class="panel panel-default" ng-repeat="alist in cnc.list  " id="{{alist.id}}" >
        <div class="panel-body">
            <div class="form-group">申请人:{{alist.adduser}}</div>  
            <div class="form-group">添加时间:{{alist.addtime}}</div>   
            <div class="form-group">有效时间:{{alist.usetime}}</div>
            <div class="form-group">标题:{{alist.title}}</div>
            <div class="form-group">通知内容:
                <article ng-bind-html="alist.context |trustHtml"> 
                </article>
            </div>
             
          <button class="btn btn-success"  ng-click="cnc.approve(‘y‘,alist)">批准申请</button> 
          <button class="btn btn-danger"  ng-click="cnc.approve(‘n‘,alist)">拒绝申请</button>  
        </div>
    </div>
       /* 自定义的过滤器(用来将带html标签的内容 正确绑定到ng-model上)
        * author:tai
        */
           app.filter(‘trustHtml‘,function($sce){
               return function (input){
                   return $sce.trustAsHtml(input); 
               } 
            } 
           );

 

关于angularJS绑定数据时自动转义html标签

标签:

原文地址:http://www.cnblogs.com/leong/p/4261827.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!